针对SAP NetWeaver的APT式攻击分析与防御指南

针对SAP NetWeaver的APT式攻击分析与防御指南 漏洞概述 CVE-2025-31324 是影响SAP NetWeaver Visual Composer Framework(7.50版本)的一个严重漏洞，CVSS评分为10.0。该漏洞允许未经认证的攻击者在SAP应用服务器上上传并执行任意文件，导致远程代码执行(RCE)和系统完全沦陷。 漏洞技术细节 漏洞根源 漏洞源于 /developmentserver/metadatauploader 端点缺少授权检查。这个不安全的文件上传处理器允许未认证用户将文件放置到服务器上可通过web访问的目录(如 /irj/servlet_jsp/irj/root/ )，包括恶意的JSP web shell。 利用方式 攻击者通过未授权访问上传恶意JSP文件 上传的文件会被放置在web可访问目录 攻击者通过web浏览器访问上传的web shell 以SAP应用服务器进程的权限执行任意操作系统命令 攻击工具链分析 初始入侵阶段 攻击者部署了多种web shell，包括： helper.jsp cache.jsp ran.jsp （支持通过 cmd 参数执行远程命令） 后续攻击工具 config.sh shell脚本 ： 用于下载和部署GOREVERSE工具 启动高级开源远程shell工具 GOREVERSE工具特性 ： 基于SSH的shell管理 动态转发(SOCKS、SCP、SFTP) 多传输层(HTTP、TLS、WebSockets) 安全通道的双向认证 样本为64位ELF二进制文件，使用Garble开源工具进行混淆 下载源： ocr-freespace.oss-cn-beijing.aliyuncs[.]com C2框架 ： 使用SUPERSHELL框架 恶意IP地址包括：47.97.42[ .]177和45.76.93[ . ]60 载荷投递方式 攻击者使用Cloudflare Pages等合法云服务托管载荷： Base64编码的PowerShell脚本托管在 d-69b.pages[.]dev 脚本执行后会： 生成SSH密钥 终止活动的ssh.exe和sshd.exe进程 下载OpenSSH二进制文件 建立回连攻击者控制基础设施的隧道 攻击时间线 2025年1月 ：漏洞可能已被探测 2025年3月 ：大规模利用开始 2025年4月24日 ：SAP公开披露漏洞 防御措施 紧急措施 应用补丁 ：立即应用SAP发布的相关安全补丁 端点监控 ： 监控对 /developmentserver/metadatauploader 端点的访问 检查异常访问模式 文件检查 ： 检查是否存在已知恶意JSP文件(helper.jsp, cache.jsp, ran.jsp) 检查web目录下是否有可疑文件 长期防护策略 网络隔离 ： 限制对SAP系统的外部访问 实施网络分段 权限控制 ： 实施最小权限原则 定期审查用户权限 日志监控 ： 加强系统日志收集和分析 设置异常行为告警 应急响应 ： 制定针对此类攻击的应急响应计划 定期演练应急响应流程 参考资源 Unit 42研究报告："From Web Shell to Full Control: APT-Style Exploits Surge Against SAP NetWeaver" SAP安全公告 相关CVE详细信息：CVE-2025-31324 法律声明 所有防护措施应遵守《中华人民共和国网络安全法》及相关法律法规。本文提供的技术信息仅供参考，实施前应进行充分测试和评估。